Администрация ГО Город Лесной. Игорь Синяев. "Тестирование комплексного решен...
Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи"
1. «РАЗВИТИЕ СЕРВИСОВ ПО ЗАЩИТЕ
DDOS- :ОТ АТАК ВЗГЛЯД СО СТОРОНЫ
»ОПЕРАТОРА СВЯЗИ
#CODEIB
2. РОСТЕЛЕКОМ В
ЦИФРАХ
2
28 000 000 АБОНЕНТОВ ФИКСИРОВАННОЙ ГОЛОСОВОЙ СВЯЗИ
11 200 000 АБОНЕНТОВ ШИРОКОПОЛОСНОГО ДОСТУПА В ИНТЕРНЕТ
8 200 000 АБОНЕНТОВ ПЛАТНОГО ТЕЛЕВИДЕНИЯ
80 РЕГИОНАЛЬНЫХ ФИЛИАЛОВ
2 500 ТОЧЕК ПРОДАЖ И ОБСЛУЖИВАНИЯ
160 000 СОТРУДНИКОВ
БОЛЬШЕ 50% АКЦИЙ КОМПАНИИ КОНТРОЛИРУЕТ ГОСУДАРСТВО
ОПОРНЫЙ УЗЕЛ
РЕГИОНАЛЬНЫЙ УЗЕЛ
ДАТА-ЦЕНТР
Nx40GГбит/с
Nx10 Гбит/с
#CODEIB
7. ВИДЫ DDoS-
АТАК
7
DDoS НА TCP-СТЕК/ТАБЛИЦУ СЕССИЙ
• Атака, направленная на устройства связи
с контролем состояний (load balancers,
firewalls, application servers)
• Нацелена на традиционную структуру
сетевой безопасности и на сервера
DDoS НА КАНАЛ СВЯЗИ
• Переполняет каналы связи:
• Во внутренних сетях цели
• Между сетями провайдера и атакуемой
сетью
DDoS НА ПРИЛОЖЕНИЯ
• Малозаметные атаки на приложения –
HTTP/DNS/SIP
• Нацелены на определенные уязвимости
приложений
#CODEIB
8. 8
ТИПОВОЕ ПОДКЛЮЧЕНИЕ
КОМПАНИЙ
К ИНТЕРНЕТУ
• >= 50 Mbps
• <= 1 Gbps
• Control Plane
• Performance
• Statefull
• App Inspection
• WWW
• MAIL
• DNS
• VOIP
• VPN
• Доступ в Интернет
#CODEIB
10. 10
• В СЕТЬ КЛИЕНТА НАЧИНАЕТ ПОСТУПАТЬ
АНОМАЛЬНЫЙ ТРАФИК АТАКИ
• АКТИВИРУЕТСЯ СИСТЕМА ПРОТИВОДЕЙСТВИЯ
АТАКЕ, ТРАФИК НАПРАВЛЯЕТСЯ НА ОЧИСТКУ
• ОЧИЩЕННЫЙ ТРАФИК ПЕРЕДАЁТСЯ В СЕТЬ
КЛИЕНТА
СХЕМА СИСТЕМЫ АНАЛИЗА
ТРАФИКА
DDoSИ ЗАЩИТЫ ОТ АТАК
#CODEIB
13. Крупнейшая DDoS атака
*Источник: публичный блог Брайана Кребса rebsonsecurity.com
Атака с помощью botnet сетей размещенных в
сегменте IoT
Рекордная мощность атаки – 665 Gbps
Продолжительность атаки – более 10 дней
Возраст злоумышленников 18 лет
Атака DNS Amplification
13#CODEIB
14. 14
КЛИЕНТСКИЙ ПОРТАЛ
Ключевыми функциями портала
являются оповещение клиента о
начале и окончании атак
«ЗЕЛЕНОЕ» – небольшое
превышение трафика, малая
вероятность наличия атаки
«ЖЕЛТОЕ» – умеренное превышение,
вероятность наличия атаки средняя
«КРАСНОЕ» – критическое
превышение, совершается атака
ПРИ ВОЗНИКНОВЕНИИ
АТАКИ ПРЕДУСМОТРЕНЫ ТРИ ТИПА
ОПОВЕЩЕНИЙ:
#CODEIB
15. ПРЕИМУЩЕСТВА ПАО
« »РОСТЕЛЕКОМ
16
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
Позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений
Позволяет отражать атаки емкостью более 6 Тбит/с за счет отражения атаки на пограничных
маршрутизаторах
50 инженеров обученных Arbor Peakflow
Опыт отражения атак пиковой производительностью 214 Гбит/с
Ежедневная фильтрация более 15 инцидентов емкостью более 10 Гбит/c
Опыт успешной защиты информационных ресурсов Олимпийских Игр Сочи 2014
#CODEIB
Типовое подключение банка к ISP обычно включает в себя:
Каналы от нескольких независимых операторов связи
Ширина каждого канала от 50 Мбит/с до 1Гбит/с
Наличие собственных системы безопасности: Firewall/IPS/WAF
Смешанный набор сетевых приложений доступных всему Интернет
Доступ сотрудников в интернет осуществляется по этим же каналам
Возможные вектора DDoS-атак:
Канал
Вычислительные ресурсы маршрутизатора и уровень управления маршрутизатора
Statefull устройства безопасности
Вычислительные ресурсы серверов и приложений
Блокировка доступа в интернет для пользователей
Для борьбы с DDoS-атаками Клиенты зачастую устанавливают системы фильтрации трафика у себя на площадке, тем самым они устраняют проблемы связанные с доступность своих ресурсов, НО только в рамках трафика, который не превышает полосу пропускания канала или производительность antiddos устройства.
Отсюда напрашивается очевидный для всех вывод, что бороться ТОЛЬКО на стороне клиента как минимум не эффективно. И для того, чтобы обеспечить полноценную защиту необходимо обеспечивать защиту совместно с оператором связи или специализированных сервисов, на которые перенаправляется трафик Клиента.